Zum Inhalt springen
KI KI für UN
Menü
Leistung · Audit

KI-Audit — was hast du, was kostet's, was ist riskant?

Mit ChatGPT-Zugang für 50 Mitarbeitende, M365-Copilot, Notion AI, drei Custom-GPTs in der Buchhaltung — und niemand weiß, wo welche Daten landen. Wir räumen auf.

Audit anfragen Pauschale ansehen

Was du bekommst

Ein KI-Audit ist die unaufgeregte Bestandsaufnahme. Du bekommst:

  • Vollständiges Tool-Inventar: Alle KI-Tools im Haus, inklusive Schatten-IT — gefunden über Interviews, MFA-Logs, Browser-Telemetrie (sofern erlaubt).
  • Datenschutz-Bewertung pro Tool: Welche Daten gehen wohin? AVV abgeschlossen? Drittland-Transfer dokumentiert? Standardvertragsklauseln vorhanden?
  • AI-Act-Risikoklassen-Einordnung: Welche Use-Cases fallen in welche Risikoklasse (verboten, hoch, mittel, niedrig)? Was ist ab August 2026 dokumentationspflichtig?
  • Wirtschaftliche Auswertung: Lizenzkosten vs. tatsächliche Nutzung. Welche Tools sind Lizenz-Leichen, welche unterbenutzt?
  • Konkrete Risiko-Liste: Was muss kurzfristig (4 Wochen) abgestellt werden? Was mittelfristig? Was kann bleiben?
  • Priorisierte Roadmap: Welche neuen Use-Cases sind realistisch und naheliegend? Mit Aufwand-/Nutzen-Score.

Audit-Bericht ist 25–40 Seiten, präzise und für Geschäftsführung lesbar. Anhänge mit detaillierter Tool-Bewertung.

Was wir abdecken

Inventar

Tool-Inventar

Welche KI-Tools sind im Haus, wer nutzt sie, mit welchen Daten? Auch das Schatten-IT, die niemand offiziell kennt.

DSGVO

Datenschutz-Check

Wo fließen welche Daten in welche Cloud? AVV-Status, Drittland-Transfer, DSGVO-Risiken pro Tool.

Compliance

AI-Act-Einordnung

Welche eurer KI-Anwendungen fallen in welche Risikoklasse? Sind irgendwo Hochrisiko-Systeme dabei?

Wirtschaftlich

Hebel-Liste

Wo wird Wert erzeugt, wo nicht? Welche Tools sind Lizenz-Leichen, welche unterbenutzt?

Wir kombinieren das Audit häufig mit thematischen Tiefen-Drills, je nach Bedarf: Azure-Migration, On-Premise-Optionen, AI-Act-Pflichten, DSGVO-Anforderungen.

Ablauf

  1. Kickoff (1 Tag): Wir sprechen mit Geschäftsführung, IT-Leitung und Datenschutzbeauftragtem. Definieren Audit-Tiefe und Zugriffsrechte.
  2. Daten-Erhebung (1–2 Wochen): Interviews mit 8–15 Schlüsselpersonen aus Fachbereichen, Tool-Lizenz-Auswertung, Stichproben in MFA-/Login-Logs.
  3. Analyse (1 Woche): Wir gleichen Inventar mit Datenschutz-Anforderungen und AI-Act ab. Erstellen Risiko-Matrix.
  4. Bericht und Präsentation (3–5 Tage): Schriftlicher Audit-Bericht, plus 90-Minuten-Präsentation für Geschäftsführung. Q&A inklusive.
  5. Optional: Begleitung der Sofortmaßnahmen: Wir helfen bei den ersten 3–5 kritischen Punkten (Verträge nachziehen, Tools abstellen, Processe formalisieren).

Dauer typischerweise 4–6 Wochen für mittelständische Unternehmen mit 50–500 Mitarbeitenden. Größere Häuser entsprechend länger.

Was es kostet

  • Kompakt-Audit (bis 100 Mitarbeitende): 4.500 € netto Pauschale, 3 Wochen Dauer
  • Standard-Audit (100–500 Mitarbeitende): 9.500 € netto Pauschale, 4–5 Wochen Dauer
  • Intensiv-Audit (500+ MA oder regulierte Branche): ab 18.000 € netto, 6–8 Wochen Dauer

Sofortmaßnahmen-Begleitung optional, auf Tagessatz-Basis (1.500–2.200 € netto/Tag). Wir machen vor Beginn ein detailliertes Angebot mit Scope und Umfang.

Häufige Fragen

Brauchen wir das, wenn wir nur ChatGPT haben?

Auch dann lohnt es sich häufig, weil ChatGPT-Schatten-IT in fast jedem Mittelständler existiert. Mitarbeitende kopieren Kundendaten rein, ohne dass das jemand weiß. Ein leichtgewichtiges Audit (Kompakt-Variante, 4.500 €) klärt das in 3 Wochen.

Wer macht das Audit konkret?

Das Audit wird vom Senior-Berater geführt, der Datenschutz und Mittelstand-IT verbindet. Bei größeren Audits kommt ein zweiter Berater dazu (Tech-Tiefe oder branchenspezifisches Know-how).

Was ist mit unserem Datenschutzbeauftragten?

Wir arbeiten eng mit eurem DSB. Idealerweise nimmt er an Kickoff und Bericht teil. Wir liefern keine Rechtsberatung — wir verschaffen dem DSB Transparenz, damit er seine Bewertung treffen kann.

Bekommen wir konkrete Maßnahmen oder nur Findings?

Beides. Der Bericht enthält Findings (Was haben wir gefunden) und Recommendations (Was sollte konkret gemacht werden, mit wem, in welcher Reihenfolge). Keine generischen Best-Practice-Listen, sondern auf euren Stand zugeschnitten.

Wie sind die Zugriffsrechte geregelt?

Wir arbeiten unter NDA und AVV. Zugriff auf Logs nur, wenn Datenschutzrechtlich abgedeckt. Wo wir keine Daten sehen dürfen (z.B. MFA-Detaillogs), arbeiten wir mit anonymisierten Aggregaten oder Interview-Daten.

Können wir das Audit jährlich wiederholen?

Empfehlen wir sogar. Das KI-Tool-Universum ändert sich schnell — was 2025 sauber war, kann 2027 reformbedürftig sein. Folge-Audits sind 30–40 % günstiger, weil Vorarbeit vorhanden ist.

Patrick — Senior Social Media & GEO Manager
Master of Contact

Patrick — Senior Social Media & GEO Manager

Patrick ist dein erster Ansprechpartner für KI-Beratung, Workshops und Implementierung. Er hört zu, fragt nach — und sortiert für dich, was wirklich Hebel hat.

30 Min · kostenfrei · unverbindlich

30 Min buchen